xray-scan
$
npx mdskill add wgpsec/AboutSecurity/xray-scanExecute xray to automate comprehensive web vulnerability scanning.
- Detect XSS, SQLi, SSRF, XXE, path traversal, and weak passwords.
- Integrates with xray's semantic analysis engine and community POCs.
- Selects active, passive, or crawler modes based on target requirements.
- Outputs results as HTML reports or parseable JSON files.
SKILL.md
.github/skills/xray-scanView on GitHub ↗
--- name: xray-scan description: "使用 xray 进行 Web 漏洞自动化扫描。当需要对 Web 应用进行全面漏洞扫描(XSS/SQLi/命令注入/SSRF/XXE/路径穿越/文件上传/弱口令等)时使用。xray 是长亭科技出品的综合性 Web 安全评估工具,支持主动扫描、被动代理扫描、基础爬虫扫描三种模式,内置丰富的检测插件和社区 POC。任何涉及 xray 漏洞扫描、Web 安全评估、被动代理扫描的场景都应使用此技能" metadata: tags: "xray,scan,web,vuln,漏洞扫描,安全评估,被动扫描,代理扫描,长亭,chaitin,poc" category: "tool" --- # xray Web 漏洞扫描方法论 xray 是长亭科技出品的综合性 Web 安全评估工具,核心优势:**检测精度高**(语义分析引擎)+ **误报率低** + **社区 POC 丰富**。支持主动扫描、被动代理扫描、爬虫扫描三种模式。 项目地址:https://github.com/chaitin/xray ## Phase 1: 单 URL 扫描(最常用) ```bash # 扫描单个 URL(全插件) xray webscan --url http://target/?id=1 --html-output result.html # 指定检测插件(节省时间) xray webscan --url http://target/?id=1 --plugins sqldet,cmd-injection --html-output result.html # JSON 输出(便于解析) xray webscan --url http://target/?id=1 --json-output result.json ``` ## Phase 2: 爬虫扫描(自动发现页面) ```bash # 基础爬虫 + 漏洞扫描 xray webscan --basic-crawler http://target --html-output crawl-result.html # 指定爬虫深度和插件 xray webscan --basic-crawler http://target --plugins xss,sqldet,cmd-injection --html-output result.html ``` ## Phase 3: 被动代理扫描 适合配合浏览器手动测试,xray 自动分析经过代理的流量: ```bash # 启动代理监听 xray webscan --listen 127.0.0.1:7777 --html-output proxy-result.html # 然后设置浏览器/工具代理为 127.0.0.1:7777 # 所有经过代理的请求都会被自动扫描 ``` ## Phase 4: 检测插件速查 | 插件 Key | 检测内容 | 说明 | |----------|---------|------| | `xss` | XSS 漏洞 | 语义分析引擎 | | `sqldet` | SQL 注入 | 报错/布尔/时间盲注 | | `cmd-injection` | 命令注入/代码执行/SSTI | 多种 payload | | `dirscan` | 目录枚举 | 备份文件、配置文件、debug 页面 | | `path-traversal` | 路径穿越 | 多平台多编码 | | `xxe` | XML 实体注入 | 有回显 + 反连检测 | | `upload` | 文件上传 | 常见后端语言 | | `brute-force` | 弱口令 | HTTP 基础认证 + 表单 | | `jsonp` | JSONP 劫持 | 敏感信息跨域读取 | | `ssrf` | SSRF | 常见绕过 + 反连检测 | | `baseline` | 基线检查 | SSL 版本、HTTP 头检测 | | `redirect` | 任意跳转 | meta/30x 跳转 | | `crlf-injection` | CRLF 注入 | HTTP 头注入 | | `struts` | Struts2 漏洞 | s2-016/032/045/059/061(高级版)| | `shiro` | Shiro 反序列化 | 密钥检测(高级版)| | `fastjson` | Fastjson 漏洞 | 系列检测(高级版)| | `thinkphp` | ThinkPHP 漏洞 | 系列检测(高级版)| ### 按场景选择插件组合 ```bash # 快速扫描(高危优先,1-2 分钟) xray webscan --url URL --plugins sqldet,cmd-injection,xxe,ssrf # 全面扫描(所有插件,默认行为) xray webscan --url URL # Web 应用测试(聚焦 Web 漏洞) xray webscan --url URL --plugins xss,sqldet,cmd-injection,upload,path-traversal # Java 应用(针对性) xray webscan --url URL --plugins struts,shiro,fastjson,sqldet ``` ## Phase 5: POC 扫描 xray 内置 POC 引擎 (phantasm),支持社区贡献的 POC: ```bash # 使用内置 POC 扫描 xray webscan --plugins phantasm --url http://target # 指定自定义 POC 目录 xray webscan --plugins phantasm --poc /path/to/pocs/ --url http://target ``` 社区 POC 仓库:https://github.com/chaitin/xray-plugins ## 配置优化 ```bash # 生成默认配置文件 xray genca # 生成 CA 证书(HTTPS 代理需要) # 配置文件位置:~/.xray/config.yaml # 常用配置项: # - http.proxy: 设置上游代理 # - http.headers: 自定义请求头 # - plugins.xxx.enabled: 启用/禁用插件 ``` ## 与 nuclei 对比决策 | 场景 | 推荐工具 | 原因 | |------|---------|------| | 已知 CVE 验证 | **nuclei** | 模板库更全 (9000+) | | 通用 Web 漏洞扫描 | **xray** | 语义分析,误报率更低 | | 被动代理扫描 | **xray** | 原生支持代理模式 | | 批量目标 PoC 检测 | **nuclei** | 批量性能更好 | | SQL 注入深度检测 | **xray** | sqldet 引擎更精准 |
More from wgpsec/AboutSecurity
- 401-403-bypass401/403 访问拒绝绕过方法论。当遇到管理后台、API 端点返回 401/403 Forbidden 时使用。覆盖路径操纵、HTTP 方法篡改、Header 注入、协议降级、组合攻击
- ad-acl-abuseActive Directory ACL 滥用攻击方法论。当 BloodHound 发现 GenericAll/WriteDACL/WriteOwner/GenericWrite/ForceChangePassword 等危险 ACE 时使用。覆盖 ACE 枚举、权限滥用链、Shadow Credentials、RBCD 攻击
- ad-delegation-attackKerberos 委派攻击(非约束/约束/RBCD)。当 BloodHound 发现委派配置、或已获取有 SPN 的服务账号/机器账号控制权时使用。通过 S4U 协议滥用可实现跨服务模拟任意用户,常用于域内权限提升和横向移动。
- ad-domain-attackActive Directory 域环境攻击全链路。当目标主机在域环境中(systeminfo 显示 Domain 非 WORKGROUP)、发现 88/389/636 端口、或获取到域用户凭据时使用。覆盖域信息收集、用户枚举、Kerberoasting、AS-REP Roasting、委派攻击、ACL 滥用、DCSync、Golden/Silver Ticket
- ad-persistenceAD 域环境持久化技术。当已获取域管/本地管理员权限、需要建立持久访问以确保重启或密码更改后仍能回到目标环境时使用。覆盖主机级持久化(计划任务/注册表Run/COM劫持/WMI事件订阅/Windows服务/启动文件夹)、域级持久化(Golden Ticket/Silver Ticket/Skeleton Key/DSRM/AdminSDHolder)、DCShadow/GoldenGMSA高级技术、清理命令与检测规避
- ad-trust-attack域信任关系攻击。当目标存在多域/多林环境时使用。包含父子域提权(Golden Ticket + ExtraSid)、跨林攻击(SID History/MSSQL Trust Links)、单向信任利用。已获取子域 Domain Admin 或发现信任关系时优先加载。
- adcs-certipy-attackActive Directory Certificate Services (ADCS) 证书攻击。当发现域内有 CA 服务器、ADCS Web Enrollment、证书模板配置错误时使用。覆盖 ESC1-ESC11 所有证书滥用路径、Certipy 工具链、证书伪造、NTLM 中继到 ADCS。发现 ADCS/CA/证书/certsrv 相关内容时一定要使用此技能
- adinfo-enum使用 Adinfo 进行 Active Directory 信息收集。当获得域用户凭据后需要快速收集域环境信息时使用。Adinfo 是一个快速 AD 信息收集工具,一条命令输出域控列表、域管用户、信任关系、GPO、SPN、委派配置等关键信息——比手动 LDAP 查询快得多。发现域环境后第一步信息收集使用此技能
- agent-security|
- ai-data-security|